CC3049 Auditoría y Controles TI (4 períodos de teoría 4 créditos)

Transcripción

1 CC3049 Auditoría y Controles TI (4 períodos de teoría 4 créditos) Descripción. Este curso está diseñado para introducir al estudiante en los conceptos fundamentales de la auditoria y los controles de TI, enfocando el curso en comprender los controles de información, los tipos de control, su impacto en la organización y en cómo administrar y auditar estos controles que permitan la identificación de riesgos a que está sujeto el negocio. Se presentan las técnicas para realizar auditorías en TI. Los alumnos aprenderán el proceso de crear una estructura de controles, auditar una infraestructura de TI con base a ella y establecer un plan para corregir todos los hallazgos de auditoría. Conocer los estándares, normas y guías para la realización de auditorías internas y externas. Desarrollar las habilidades y destrezas para planificar, ejecutar, evaluar y elaborar el informe final de una auditoría. La importancia de entender la relación entre la auditoría, el control interno, la mejora continua y la acción correctiva es vital para el profesional de informática. Se revisaran los retos para emplear las mejorares prácticas, estándares y regulaciones por los que se imponen los controles TI. I. Requisitos. Ninguno II. Competencias a Desarrollar. a) Genéricas: i. Se desempeña eficazmente en grupos multidisciplinarios de trabajo, en el ámbito de su profesión. ii. Vela por la integridad, privacidad y conservación de la información en su gestión profesional. iii. Emplea criterios adecuados para la solución de problemas y diseña soluciones efectivas y creativas basadas en CCTI. iv. Vela por la integridad, privacidad y conservación de la información en su gestión profesional. v. Demuestra un pensamiento crítico e independiente en la solución de problemas de CCTI. vi. Aprende a aprender, con el fin de aprovechar las posibilidades que ofrece la educación a lo largo de la vida. vii. Actúa éticamente en los diferentes ámbitos en que se desenvuelve. b) Específicas: i. Comprende los conceptos generales de la Auditoría de Sistemas de Información, que le permiten identificar de riesgos a que está sujeto el negocio para desarrollar políticas de control que minimizarán el impacto de los mismos, aplicando los estándares, normas y guías para la realización de auditorías internas y externas. ii. Aplica estrategias administrativas para planificar, ejecutar, evaluar y elaborar el informe final de una auditoría. Comprendiendo la relación entre la auditoría, el control interno, la mejora continua y la acción correctiva. - 1/9 -

2 III. Metodología. a) Aprendizaje orientado a proyectos. b) Resolución de Casos y problemas. c) Aprendizaje visual por medio de mapas conceptuales. d) Instrucción por pares. e) Aprendizaje autodirigido. f) Lección magistral. g) MEAs: Actividades para desarrollo de modelos. - 2/9 -

3 IV. Contenidos, procedimientos e instrumentos de evaluación. Comprende los conceptos generales de la Auditoría de Sistemas de Información, que le permiten identificar de riesgos a que está sujeto el negocio para desarrollar políticas de control que minimizarán el impacto de los mismos, aplicando los estándares, normas y guías para la realización de auditorías internas y externas. Contenidos (por cada competencia se da estos 3 cuadros) Contenido Conceptual: Tema 1 Conceptos Generales de Auditoría 1. Concepto de Auditoría 2. Tipos de Auditoría 3. Control Interno de una Organización y su relación con la Auditoría de Sistemas de Información 4. Funciones y responsabilidades del auditor informático 5. Perfil del profesional de Auditoría de Sistemas de Información 6. Enfoque de la auditoría de Sistemas de Información: Auditoría tradicional, Auditoría basada en riesgos. Tema 2. El proceso de la auditoría de Sistemas de Información basada en Riesgos 1. Etapas del proceso. Tema 3 Establecer la función de la auditoría de Sistemas de Información: 1. Alcance 2. Roles 3. Recursos 4. Metodología y Tareas 5. Efecto de leyes y regulaciones 6. Estándares, Políticas y Procedimientos Tema 4 Análisis de Riesgos 1. Ciclo de vida 2. Materialidad 3. Riesgo de Auditoría 4. Riesgo Inherente 5. Riesgo de Control 6. Riesgo de Detección Metodología de Enseñanza Aprendizaje Resolución de Casos y problemas. Aprendizaje visual por medio de mapas conceptuales. Instrucción por pares. Lección magistral. Investigación Empresarial MEAs Procedimientos Taller de Aplicación Mapa conceptual Examen corto Autoevaluación Proyecto Examen parcial Instrumentos de evaluación Clave Clave y Rubrica - 3/9 -

4 Tema 5 Estándares de gestión de la seguridad de la información 1. La organización ISO. 2. Estándares en Seguridad de la Información: Las Normas ISO La Norma ISO La Norma ISO Contenido Procedimental: Desarrolla procesos de auditoria de TI Identifica los principales riesgos que son inherentes a los sistemas de información y TI Elabora estrategias para asegurar y manejar convenientemente los riesgos de TI Asegura y preserva evidencias en los procesos de auditoria y en el establecimiento de controles. Desarrolla políticas de control que minimizan su impacto en la organización. Elabora Guías para la realización de Auditorías internas y externas a los sistemas de información. Contenido Actitudinal: Muestra disciplina y orden en la solución de problemas. Se concentra en las actividades que realiza. Persistencia Observador Detallista Asertivo - 4/9 -

5 Aplica estrategias administrativas para planificar, ejecutar, evaluar y elaborar el informe final de una auditoría. Comprendiendo la relación entre la auditoría, el control interno, la mejora continua y la acción correctiva. Contenidos Contenido Conceptual: Tema 6.Controles en Procesos de Negocio: Automatizados o dependientes de TI 1. Controles Preventivos, Detectivos y Correctivos 2. Controles de Aplicación 3. Controles manuales dependientes de TI 4. Segregación de Funciones Incompatibles. Tema 7.Controles Generales de TI 1. Definición 2. Riesgos asociados y categorías de controles 3. Controles de Planificación y Organización (Normas, Políticas y Procedimientos) 4. Controles para la Adquisición e Implementación (Administración de cambios) 5. Controles para la Entrega de Servicios y Soporte (Seguridad lógica, seguridad física, respaldos, gestión de incidentes) 6. Controles de Monitoreo y Evaluación 7. Controles de Segregación de Funciones Incompatibles. 8. Efecto de los Controles Generales de TI en los Controles automatizados o dependientes de TI. Metodología de Enseñanza Aprendizaje Resolución de Casos y problemas. Aprendizaje visual por medio de mapas conceptuales. Instrucción por pares. Lección magistral. Investigación Empresarial Procedimientos Taller de Aplicación Mapa conceptual Examen corto Autoevaluación Proyecto Instrumentos de evaluación Clave Tema 8 Plan de Ejecución de una Auditoría de Sistemas de Información 1. Procedimientos Generales 2. Detección de Fraudes Aprendizaje orientado a proyecto. Examen parcial Clave - 5/9 -

6 3. Pruebas de Cumplimiento 4. Pruebas Sustantivas 5. Técnicas para la obtención de evidencia 6. Uso de Evidencia Electrónica de Auditoría y sus implicancias. 7. Técnicas de muestreo 8. Uso de trabajo de otros auditores 9. Técnicas de Auditoría Asistidas por Computador Tema 9 Elaboración de Informes 1. Tipos de Informe 2. Formato del Informe 3. Resultados de la Auditoria 4. Comunicación de los resultados y seguimiento Contenido Procedimental: Conoce y selecciona los estándares y practicas más adecuadas para establecer controles y realizar auditorías. Elabora planes y supervisa su cumplimiento para corregir cualquier desviación a los controles que se detectan en las auditorias. Selecciona software adecuado para implementar bitácoras y otros controles de operación en los sistemas de información, bases de datos y redes. Identifica las principales regulaciones de compliance (cumplimiento) por industria y como auditar su cumplimiento. Desarrolla y ejecuta planes de auditoria observando las normas de seguridad y continuidad del negocio (NORMAS ISO 27001) Contenido Actitudinal: Perseverante Se concentra en las actividades que realiza. Muestra disciplina y orden en la solución de problemas. Iniciativa, motivación y actitud positiva para enfrentar los retos que se le presenten. Disposición para comunicarse efectivamente y asumir responsabilidades en un equipo de trabajo. - 6/9 -

7 V. Evaluación. Actividad Cantidad Puntos Total Exámenes Talleres de Aplicación de Casos y Hojas de Trabajo Proyectos Zona TOTAL 100 a) La evaluación del curso es sobre el 100% de zona. Para aprobar el curso es necesario obtener una nota mínima de 61 puntos en total y un mínimo de 80% de asistencia. b) La cantidad de actividades y sus fechas son fijas. No se permite realizar trabajos adicionales para recuperación de puntos. Por favor planifique su calendario desde el principio para evitar futuros reclamos. En caso de ausencia justificada 1, es responsabilidad del estudiante notificar al catedrático dentro de los siguientes 10 días hábiles de realizada la actividad perdida, de lo contrario tendrá una nota de cero en dicha actividad. c) Solamente se podrá solicitar revisión de notas de actividades específicas dentro de los siguientes 10 días hábiles después de su publicación. VI. Fechas Importantes. a) Entrega de Proyectos: Proyecto Fecha de Entrega Tema Puntos #1 Semana del 2 al 5 de Septiembre 2014 Auditoria de Riesgos 15 #2 Semana del 11 al 14 de noviembre Ejecución de Auditoria de Sistemas 15 b) Exámenes: Examen Fecha Puntos #1 Semana del 26 al 29 de agosto #2 Semana del 14 al 17 de octubre Una ausencia justificada consiste en enfermedades que le imposibiliten asistir a clase con su debida constancia médica, muerte de parientes cercanos (padre, madre o hermanos) con su debida esquela. - 7/9 -

8 VII. Bibliografía. a) Blackboard: Curso: CC3049 b) Auditoria de Sistemas Una visión Practica Alonzo Tamayo Alzate c) La Auditoria en los Sistemas Computacionales Carlos Muñoz Razo d) Auditoría Informática. Un enfoque práctico. Alfaomega Piattinni, G. M & Peso del E. e) Norma UNE-EN ISO 19011:2012 Directrices para la auditoría de los sistemas de Gestión. f) Sistemas de Información, Herramientas Prácticas para la Gestión Empresarial. Gómez Viertes, Álvaro. Editora RAMA. Madrid. España. g) Information System Auditor and Control Association, COBIT Marco Referencial, h) COBIT Objetivos de Control y COBIT Guías de Auditoría. Atlanta, USA. VIII. Catedráticos. Sección Nombre Oficina Correo Electrónico 110 Ruth Morales Comparini J-109 rdmorales@uvg.edu.gt - 8/9 -

9 IX. Responsabilidades del estudiante. Durante todo el curso, se espera que el estudiante mantenga las siguientes actitudes generales: a) Muestra disciplina y orden en la solución de problemas. b) Actúa éticamente en las actividades del curso. c) Demuestra responsabilidad en la entrega de trabajos asignados. d) Es constante en su asistencia a clase. e) Participa activamente en las discusiones de los temas. f) Respeto a las ideas de otros. g) Disposición a asumir responsabilidades en un equipo de trabajo. h) Iniciativa, motivación y actitud positiva para enfrentar los retos que se le presenten. X. Recomendaciones. a) Responsabilidad Académica: los estudiantes son responsables de la preparación y presentación del trabajo que representa sus esfuerzos. La aceptación de esta responsabilidad es esencial para el proceso educativo y debe ser considerada como una expresión de confianza mutua; que es la fundación sobre la cual descansa la escolaridad creativa. Los estudiantes deben ejercer mucho cuidado en todo trabajo escrito con el uso del lenguaje y dar reconocimiento total a las fuentes de ideas que no sean propias. b) Política sobre colaboración: En todas las actividades se permite discutir los requerimientos de los problemas y el material de apoyo con cualquier persona. Se sugiere evitar ver programas fuente de terceros, para evitar que el producto final sea semejante o igual al de otro compañero. Recuerde que los resultados finales deben ser el producto de su propio trabajo. c) La política de la Universidad del Valle de Guatemala respecto a copia, fraude o cualquier tipo de anomalía en las actividades es la siguiente: i) "Artículo 19. Los docentes están facultados para dirimir, dentro de las normas de la ética, las situaciones problemáticas que surjan, y para tomar las medidas disciplinarias que estimen convenientes. El docente deberá calificar con cero la actividad de evaluación si el estudiante incurre en faltas a la ética. Posteriormente el docente informará por escrito a su Director de Departamento y al Director del Departamento en que está inscrito el estudiante. El Director de Departamento en que está inscrito el estudiante enviará un llamado de atención a su expediente. ( 2 ) ii) Artículo 20. Si un estudiante reincide en cometer faltas a la ética en las actividades de evaluación, el Director de Departamento, en ue esta inscrito el estudiante, le ar un llamado de atención por escrito con copia a su e pediente y le informara al docente ue el estudiante reprobara la iniciativa académica con una calificación de cero. ( 2 ) d) La entrega de documentos electrónicos, en las actividades que así lo requieran, será por medio del sitio de apoyo en Internet. No se recibirá ningún medio magnético de almacenamiento. Si el documento adjunto tuviera virus no será evaluado. e) Es necesario que los estudiantes ingresen puntualmente a clase, se considerará como ausencia si el estudiante ingresa a clase después de haber tomado lista. No se aceptan las interrupciones debido a aparatos electrónicos. Por favor apáguelos o póngalos en modo silencioso. No es aceptable contestar celulares durante la clase. f) Está prohibido ingerir alimentos y bebidas en el salón de clase. Por este medio hago constar que he leído y comprendido los términos establecidos en este documento. Fecha: Carné: Nombre: Firma: 2 Reglamento de Evaluación Académica. Universidad del Valle de Guatemala. Noviembre de /9 -